L’altro giorno ero da Marcello, un cliente che ha scelto – saggiamente – di proteggere nel migliore dei modi la sua attività da attacchi informatici. Non è a capo di una multinazionale: si tratta semplicemente di un architetto che ha ben chiaro il valore dei dati, il sudore versato per produrli e i danni economici che deriverebbero da un’eventuale perdita o indisponibilità. Un vero e proprio “illuminato” in un contesto – quello italiano – dove “queste cose a me non succedono perché sto attento”.

Oltre all’installazione di un antivirus gestito da noi, ho proposto a Marcello l’installazione di un firewall WatchGuard. Nessun acquisto, quindi, ma semplicemente un canone mensile di servizio che copre entrambi i prodotti (oltre che l’assistenza sui computer).

L’introduzione dei firewall ha reso necessario modificare anche la configurazione della rete, poiché non è stato possibile cambiare quella del router, controllato dal provider, che gestisce anche la linea telefonica su VoIP.

Dunque: attivazione di una nuova rete wireless e cambio IP dei computer e del plotter. Tutto procede per il meglio e l’intervento si preannuncia di breve durata.

Ma c’è un ma…

Nello studio di Marcello è presente un dispositivo multifunzione con funzione di scanner di rete, utile per inviare scansioni di documenti o disegni a eventuali destinatari e-mail, a una chiavetta USB o direttamente al computer. Marcello, però, non è mai riuscito a inviare niente al computer. Si è sempre dovuto appoggiare all’USB, poiché il venditore del dispositivo non ha configurato la funzione scan-to-PC.

“Che strano”, penso…

“Beh, Marcello, te la configuro io. Dover dipendere dalla chiavetta USB è una roba che va contro il mio status di pigro. Sto male per te solo a pensarci…”

E via, mi metto a smanettare sul dispositivo per capire come configurarlo. In un attimo cambio l’IP e metto i computer in grado di stampare. Si tratta quindi solo di gestire le scansioni verso l’iMac di Marcello, e poi è fatta.

Creo una cartella dedicata alle scansioni sul desktop del Mac, per comodità, e decido di dire al multifunzione di utilizzarla come destinazione. E qui inizia lo spettacolo.

Il multifunzione (a marchio UTAX, ma praticamente una Kyocera ribrandizzata) può inviare le scansioni tramite due protocolli: SMB e FTP. Scelgo il primo, ma dopo una serie di tentativi falliti capisco che la macchina non è in grado di gestirlo quando la destinazione è un Mac.

Passo a FTP, ma continuo a non avere successo.

Decido quindi di chiamare il venditore del multifunzione per avere qualche delucidazione in merito alla configurazione, ma mi risponde che loro non sono mai riusciti a configurare il dispositivo su Mac e che probabilmente non è compatibile.

Mi dice che sui PC Windows hanno sempre creato la cartella condivisa con i permessi “Everyone – Full Control” e poi ha sempre funzionato tutto.

Ormai è una questione di principio, e chi mi conosce sa che il mio rapporto con le questioni di principio è pessimo. Probabilmente morirò per una questione di principio, quindi immagina cosa possa fare di fronte a un multifunzione. Di certo non gliela lascio vinta.

Dopo un’ora di tentativi capisco come Kyocera vuole che venga inserito il percorso della cartella FTP, e le scansioni iniziano ad arrivare al Mac.

Marcello fa i salti di gioia. Io gongolo.

Ma torniamo alla frase del venditore di multifunzione.

Loro hanno sempre condiviso la cartella con i permessi “Everyone – Full Control”.

Ogni volta che un permesso viene fissato su “Everyone – Full Control”, un tecnico con competenze di sicurezza informatica muore. Qualche settimana dopo il decesso, un cliente con quel permesso settato viene attaccato senza pietà da un cryptovirus.

Se hai letto il mio e-book “CRYPTOSTOP – Ransomware e Cryptovirus: sei armi per difendersi”, avrai constatato che una di queste armi è proprio l’assegnazione dei permessi di accesso a file e cartelle secondo un criterio logico.

“Everyone – Full Control” è tutto fuorché logico. Anzi, se devo essere sincero, è proprio da coglioni.

Ti faccio un esempio che ti aiuterà a inquadrare meglio la questione.

Immagina di abitare in una villa di lusso (se non devi immaginarlo e ci abiti davvero sei fortunato, ma non è questo il punto). La villa rappresenta il tuo server.

Hai un giardiniere che, una volta alla settimana, viene a fare la manutenzione del parco (stai in una villa di lusso, vuoi non avere un bel parco?), e per farlo deve accedere alla rimessa degli attrezzi.

Il problema è che il giardiniere ha diversi dipendenti, e sono in tre o quattro ad alternarsi per i lavori di manutenzione. La chiave della rimessa è una sola, e spesso l’operaio che viene per i lavori non l’ha con sé, visto che è rimasta a chi è venuto prima di lui.

Come risolvere il problema?

Il sistema più semplice sarebbe fare quattro copie delle chiavi, in modo che ognuno possa avere sempre quella a lui destinata.

L’approccio “Everyone – Full Control”, invece, prevede di togliere la porta dalla rimessa e lasciarla sempre spalancata.

Entrambe le soluzioni risolvono il problema del giardiniere, ma con la seconda, in breve tempo, il contenuto della rimessa sparirà per essere rivenduto al miglior offerente sul mercato della ricettazione. Il locale subirà furti continui e tu, per risolvere il problema del giardiniere, continuerai a riacquistare le attrezzature necessarie alla tua manutenzione, molte delle quali estremamente costose.

Ti sentiresti un po’ idiota in una situazione del genere? Io credo di sì.

1. Pigrizia. Non hai voglia di ragionare su chi deve accedere a cosa, e quindi l’unica strada possibile per il tecnico che sta installando il sistema è lasciare tutto aperto a cani e porci, per evitare mille chiamate dagli operatori “chiusi fuori”;
2. Dabbenaggine del tecnico, che non ha idea dei rischi a cui si espongono i dati con quel tipo di configurazione sui permessi di accesso.

Condividere una cartella in rete senza limitarne l’accesso esclusivamente ai soggetti che lo necessitano davvero corrisponde proprio alla seconda scelta fatta per agevolare il giardiniere. Le ragioni per cui ci si trova con il server simile a un colabrodo in genere sono due:

Chi dovrebbe avere i diritti di Full Control su una cartella?

Basta una parola per rispondere a questa domanda: NESSUNO.
O meglio, nessuno degli utenti utilizzati per accedere ai tuoi PC in azienda:

• Nessun dipendente;
• Nessun manager;
• Nessun amministratore delegato;
• Neanche tu, e il fatto che tu sia la persona che paga gli stipendi e le mie fatture non cambia di una virgola la situazione. Non devi avere il permesso Full Control. Punto.

Solo io devo avere Full Control quando accedo come amministratore per le attività di configurazione e manutenzione. Non serve a nessun altro.

Tendenzialmente, devi cercare di limitare l’accesso concedendo diritti più restrittivi invece di fare il contrario.

Andrea deve poter accedere alla cartella XXX? Non lo so, quindi nel dubbio facciamo che no.

O ancora:

“Sono sicuro che Andrea debba poter leggere i documenti nella cartella YYY. Deve anche poterli modificare? Nel dubbio facciamo ancora che no.”

Con questa tecnica sicuramente erogherai i diritti minimi. In pratica stai dicendo ai giardinieri che non darai loro nemmeno quattro copie delle chiavi. Se qualcuno è senza deve citofonare e farsi aprire dal domestico.

Un controllo ulteriore, perché il domestico annoterà su un taccuino quando ha aperto, quando ha chiuso e a chi. Se dovesse sparire un rastrello, sarà più facile capire chi è il responsabile.

Spero di averti dato un consiglio utile per la sicurezza del tuo server (e magari chissà, anche per la tua rimessa degli attrezzi).
Voglio concludere dicendoti tre cose:

1. Se hai un multifunzione e non riesci a mandare le scansioni a un Mac, contattami. Ormai sono un esperto in materia!
2. Se non sei sicuro che i tuoi permessi di accesso al server siano configurati come si deve, contattami. Ti darò una mano (aggratis!!!) a sistemarli. È uno dei bonus che ho riservato a chi ha letto il mio e-book “CRYPTOSTOP – Ransomware e Cryptovirus: sei armi per difendersi”, ma oggi mi sento buono e lo estendo a te, anche se non lo hai letto.
3. Comunque, se non lo hai letto, il fatto che ti regali un bonus non è un buon motivo per non farlo, visto che al suo interno ce ne sono altri. E sì, è aggratis pure il libro e lo trovi cliccando qui!

A presto,
Andrea Monguzzi

Anche tu fai parte di quegli imprenditori che, quando sentono parlare di cybersecurity, corrono col pensiero al fiume di soldi che dovrebbero investire per ottenere la tanto agognata sicurezza informatica e che quindi decidono di non fare niente?

Bene, oggi ti voglio dire tre cose:

1. Non è detto che per sistemare i tuoi ammennicoli informatici siano necessarie cifre da capogiro. Certo, non puoi pensare di investire 4 cipolle e due bulloni ruggini, ma sicuramente ci sono soluzioni che possono incrementare sensibilmente la sicurezza senza doverti svenare;
2. Ti voglio parlare di 5 aspetti legati alla cybersecurity che potresti prendere in considerazione, in modo da ridurre o azzerare i rischi a costo zero o quasi;
3. La sicurezza non va in vacanza, quindi puoi leggere questo articolo anche dalla spiaggia e puoi pianificare qualcosa da fare al tuo rientro in ufficio. Se hai dubbi chiedi, e ti risponderò anche se è agosto.

Relativamente ai 5 punti di cui ti accennavo, cercherò di spiegarteli con un linguaggio semplice, senza scendere in tecnicismi noiosi, ma tu investi 5 minuti e concentrati, perché grazie a questa lettura un giorno potresti salvare la capra, i cavoli e pure il lupo.

1. Software non aggiornati e vulnerabili

Lavorare con software vecchi è un po’ come giocare con una pistola carica. Spesso i produttori non investono tempo e risorse economiche per mantenere sicuri e protetti prodotti particolarmente datati, perché ovviamente questo rappresenta per loro un costo senza possibilità di rientro. Ad un certo punto, quindi, i software vengono abbandonati (in gergo si dice che “vanno fuori supporto”) e quindi continueranno a (mal)funzionare nel totale disinteresse del produttore.

Anche software supportati, ma senza gli aggiornamenti installati, rappresentano un rischio per la sicurezza dei tuoi sistemi. Infatti, quando un produttore rilascia un patch che corregge delle falle di sicurezza, queste ultime vengono documentate. Il produttore rilascia un documento che spiega quali falle vengono chiuse con la relativa analisi. Ovviamente questi documenti finiscono nelle mani di coloro che stanno dall’altra parte della barricata, i cattivi, che quindi possono realizzare dei programmi malevoli per sfruttare queste vulnerabilità dichiarate.

I malfattori puntano sul fatto che l’utente mediamente non aggiorna i sistemi, e quindi sanno do trovare un terreno fertile tra gli utilizzatori di un dato prodotto.

E’ quindi tassativo mantenere aggiornati gli applicativi e i sistemi operativi in uso, se non vuoi trovarti a dover gestire una violazione (e un relativo danno) legato a questa tua mancanza.

2. Reti non correttamente segmentate e segregate

Molto spesso – quasi sempre – mi imbatto in reti non correttamente segmentate e segregate, anche in presenza di decine o centinaia di dispositivi dalle caratteristiche completamente eterogenee.

Ad esempio, mi capita di imbattermi in contesti dove la rete è unica e condivisa tra server, client, rete ospiti, videosorveglianza, macchinari di produzione, e chi più ne ha più ne metta.

Contesti del genere sono particolarmente esposti ad attacchi su più fronti, poiché una eventuale vulnerabilità legata ad un singolo contesto (ad esempio le telecamere) potrebbe essere sfruttata per raggiungere il resto della rete, ripercuotendosi quindi sui reparti di produzione, sui terminali degli utenti o bloccando il server e quindi tutta l’azienda.

Senza scendere nei dettagli tecnici, come promesso all’inizio dell’articolo, basta considerare che esistono delle linee guida, delle best practices, per definire la segmentazione di una rete. In linea di massima, si potrebbe tenere sempre come riferimento l’idea che se un oggetto di rete non ha necessità di vederne un altro, allora non ha senso che i due condividano la stessa rete e andrebbero isolati.

Il ragionamento può essere esteso anche ai singoli server o alle postazioni di lavoro. In merito ai server, ad esempio, potrebbe essere utile separare quelli relativi ad applicazioni e database dai server dati, accessibili in modo diretto dagli utenti tramite cartelle condivise, così come separare ulteriormente i server che per natura comunicano con il mondo esterno tramite internet (web, posta elettronica, proxy, ecc.).

Una progettazione corretta della rete è quindi un aspetto fondamentale, volendo mantenere un livello di sicurezza accettabile da questo punto di vista.

3. Carenza di blindatura dei sistemi

La blindatura dei sistemi è quella che in inglese e in gergo tecnico viene definita hardening.

Anche per l’hardening esistono delle best practices che andrebbero sempre seguite, senza lasciare nulla al caso. Esisono aspetti che vanno presi in considerazione, evitando l’approccio standard, del tipo: “OK, ma tanto i nostri dati non interessano a nessuno”. Ho una notizia: i tuoi dati interessano – dovrebbero interessare – almeno a te, quindi sarebbe bene proteggerli in ogni modo possibile.

Gli aspetti da considerare durante le operazioni di hardening riguardano, tra le altre cose:

• la corretta gestione degli accessi ai sistemi (anche dal punto di vista fisico);
• l’aggiornamento dei sistemi (come visto al punto 1);
• la riduzione al minimo della cosiddetta superficie di attacco. La parola d’ordine in questo caso è rimuovere tutto ciò che non è necessario;
• l’avere consapevolezza di ciò che accade nell’infrastruttura, installando sistemi di auditing, reportistica e assessment da tenere sempre sotto controllo per identificare immediatamente comportamenti sospetti o a rischio da parte di utenti o dispositivi;
• la protezione delle credenziali e la loro corretta gestione, implementando dei criteri relativi alle password e alla loro conservazione sicura;
• il piano di backup e di disaster recovery. Ho scritto un ebook su questo argomento, che puoi prelevare gratuitamente cliccando qui;
• la protezione delle sessioni di lavoro remote, tenendo presente che i confini della rete sono liquidi ed è possibile metterla a tappeto stando seduti dall’altra parte del mondo.

Tutti questi aspetti – e non solo – sono da considerare seriamente se si vuole raggiungere la sicurezza.

4. Controllo degli accessi superficiale

In molti casi mi capita di trovarmi a prendere in gestione delle infrastrutture che sotto questo aspetto sono estremamente lacunose.

Devi tenere ben presente che il controllo degli accessi rappresenta un punto chiave quando si parla si cybersecurity. Volendo fare un paragone con la vita reale, tralasciare il controllo degli accessi significa installare un antifurto in casa e poi lasciare il codice per disinserirlo scritto sulla porta di ingresso. Aperta.

Sono abbastanza certo ci sia una elevata probabilità che anche sul tuo server sia presente qualche utente relativo a persone che non lavorano più in azienda da tempo. Credenziali che venivano utilizzate da un dipendente che ora è andato in pensione, ha cambiato lavoro o, comunque, non lavora più da te.

Queste credenziali rappresentano un rischio, perché consentono l’accesso a delle risorse della rete. Una prassi indispensabile sarebbe quella di disattivare gli utenti non necessari, in modo da chiudere eventuali porte aperte. Per questo motivo sarebbe utile avere anche un report periodico con indicata la data relativa all’ultimo accesso effettuato da qualsiasi utente della rete. Un utente che non accede da settimane o mesi, probabilmente può essere disattivato, e magari riattivato in caso di necessità effettiva.

5. Log e monitoraggio insufficienti

L’analisi dei log e il monitoraggio degli eventi rappresenta un altro punto chiave. Se volessi riprendere l’esempio dell’antifurto di casa, non monitorare i log di un sistema informatico significa ignorare la sirena dell’allarme.

E’ indispensabile, per garantire la sicurezza, ricevere un avviso nel caso in cui si verifichino dei tentativi di accesso non andati a buon fine, non trovi? Perché un tentativo di accesso di un utente può significare semplicemente un errore durante la digitazione di una password. Cento tentativi di accesso da parte di un utente, probabilmente sono sintomo di un tentativo di violazione da parte di qualcuno che sta cercando di “indovinare” la password.

Sono decine i casi che ho potuto visionare personalmente, di imprenditori e professionisti che hanno subito una violazione dei sistemi grazie ad un accesso illecito. Accesso che si sarebbe potuto evitare semplicemente dando un peso alle decine di migliaia di tentativi non andati a buon fine, ma registrati dai server. Sarebbe bastato tenere sotto controllo i report e intervenire in tempo per evitare la violazione e la corruzione di tutti i dati aziendali.

Esistono dei campanelli di allarme che non puoi ignorare, che non devi ignorare, se vuoi interrompere un attacco sul nascere ed evitare di trovarti in spiacevoli situazioni. Esistono in commercio soluzioni in grado di generare report leggibili anche dall’utente meno avvezzo all’informatica, proprio per mettere tutti nella condizione di correre ai ripari in tempo.

Ora dimmi: come ti poni di fronte ai 5 punti appena descritti? 

Hai trovato qualche aspetto migliorabile oppure sei un virtuoso della sicurezza e stai già facendo tutte le cose come andrebbero fatte? 

La PEC.

I cybercriminali hanno capito che la PEC potrebbe essere un ottimo ariete per sfondare le deboli difese della maggior parte delle aziende italiane.

Tramite la PEC le aziende italiane scambiano oltre 4 milioni di messaggi ogni giorno. Messaggi che ovviamente hanno, molto spesso, delle implicazioni dal punto di vista legale, dato che la PEC sostituisce a tutti gli effetti una raccomandata, con la quale condivide il medesimo valore legale.

Tramite la PEC ti scrivono – o almeno dovrebbero farlo – gli enti come INPS, INAIL, Camera di commercio, Agenzia delle Entrate, ecc.

Nella Posta Elettronica Certificata puoi trovare messaggi di studi legali, commercialisti, notai, ma non solo. Anche le aziende si scambiano PEC per gli scopi più disparati. Solleciti di pagamento, disdette di contratto, invio di documenti legali, ecc.

Tendenzialmente se uno si aspetta una brutta notizia in formato elettronico la va a cercare nella PEC, perché potrebbero arrivare così anche le sanzioni.

E quando si riceve qualcosa nella PEC cosa si fa? Proprio per timore – o per l’assoluta certezza – che si tratti di una cattiva notizia, del modello F24, della multa inattesa ma, comunque, di qualcosa da pagare, si va di corsa (e imprecando) a vedere di cosa si tratta.

I criminali informatici, quei maledetti, sanno quali sono le leve psicologiche che si azionano quando si riceve una mail certificata, e sanno come ungere gli ingranaggi per condurre l’utente proprio dove vogliono loro: a seguire un link o ad aprire un allegato infetto.

Potrebbe venire da pensare che sarebbe sufficiente non aprire le PEC il cui mittente non sia a sua volta un indirizzo PEC per considerarsi al sicuro, ma anche questo approccio non garantisce di non ritrovarsi con un problema da dover gestire.

I criminali possono inviare PEC usando gli accessi di qualcun altro!

Sul web – sul dark web, per maggior precisione – si trovano migliaia di credenziali di PEC in vendita. Criminali che in qualche modo ne sono entrati in possesso, le vendono ad altri criminali per consentire loro di usare l’indirizzo PEC di qualche malcapitato per i propri illeciti comodi. Eh si, una marea di indirizzi di posta certificata sono abbandonati da anni. Aziende che la PEC non la utilizzano o lo fanno raramente, che l’hanno cambiata passando ad altro fornitore, che non si preoccupano di modificare periodicamente la password, potrebbero essere utilizzate come mittente fasullo per attaccare altre aziende.

Non dare quindi mai per scontato che ciò che ricevi tramite posta elettronica certificata sia sicuramente esente da rischi, così come non devi dare per scontato che il mittente sia davvero colui che dice di essere.

Per rendere il mondo digitale un posto migliore e più sicuro, preoccupati di cambiare periodicamente le credenziali di accesso dei tuoi sistemi. Anche se ritieni che un accesso illecito non ti arrechi danno, pensa sempre che potrebbe arrecarne ad altri. Spesso gli strumenti che siamo abituati ad utilizzare ogni giorno, nel mondo digitale sono l’equivalente di armi cariche. Dobbiamo evitare di lasciarle abbandonate e incustodite, perché qualcun altro potrebbe farsi del male, o utilizzarle per fare del male a terzi.

Io sono per la condivisione delle colpe, e credo che se un criminale, violando i tuoi sistemi riesca ad arrecare danno a un terzo soggetto, la colpa sia da attribuire per un terzo al criminale e per un terzo alla tua gestione maldestra degli strumenti, in quanto legittimo proprietario. Il rimanente terzo di colpa lo darei comunque, in molti casi, alla vittima. La mancanza di formazione e di consapevolezza sui rischi informatici ai nostri giorni non può passare sotto i radar. Le aziende devono attuare dei piani di formazione del personale per diffondere la culture della sicurezza, e devono farlo oggi. E’ imprescindibile, come il patentino che serve per guidare un muletto.

Formarsi per non rischiare di fermarsi

Formare il personale è un dovere del datore di lavoro. Volendo ben guardare, anche la legge lo prevede. Il GDPR ha introdotto il principio di responsabilizzazione delle figure incaricate ai trattamenti, e per essere responsabili bisogna essere consapevoli e preparati.

Mi piacerebbe ottenere delle risposte alle domande che seguono:

1. Se sei un imprenditore, titolare di azienda, vorrei sapere quanto ritieni utile la formazione dei tuoi dipendenti sulla sicurezza informatica;
2. Se sei un dipendente, vorrei sapere come vedresti la formazione in aziende, se come una perdita di tempo o qualcosa di utile/indispensabile;
3. Se sei un fornitore di servizi IT, vorrei sapere se hai un programma formativo che proponi ai tuoi clienti, per renderli consapevoli delle minacce alle quali si espongono ogni volta che accendono un PC.

Rispondi utilizzando i commenti. Mi piacerebbe aprire una discussione sull’argomento.

COME “LORO” POSSONO APRIRE TUTTE LE PORTE DI CASA TUA, IN POCHE SEMPLICI MOSSE. AH, E SENZA NEMMENO DOVERLE FARE!

In questi giorni sto vivendo delle situazioni abbastanza surreali.

Partiamo dal presupposto che la sicurezza informatica si basa in buona parte sulla prevenzione e sulla capacità di rispettare delle norme – spesso semplicemente dettate del buonsenso. Questa accoppiata (prevenzione + buone abitudini) è in grado da sola di compiere una buona parte del lavoro.

Occhio: le buone abitudini sono gratis!

Come sempre, però, quando vendi prevenzione trovi dei bei muri di gomma. Per il tuo interlocutore in realtà non vendi niente. Prevenzione. Cosa c’è di più intangibile della prevenzione? Se la tua prevenzione funziona al cliente non succede niente. E se non succede niente perché mai dovrebbe pagarti? Per niente?

Nel nostro settore diciamo che la gente è pronta ad investire quando solitamente è troppo tardi.

Decidono di chiudere la stalla quando ormai i buoi sono scappati, e nella fuga hanno calpestato decine di panieri pieni di uova.

Nei giorni scorsi ho avuto un’idea. Ho voluto mettere in campo un esperimento sociale, per verificare alcune delle mie tesi.

Mi sono detto: “ma se contattassi dei clienti che hanno già un problema di sicurezza in corso, a questo punto non si tratterebbe più di prevenzione, bensì di cura!!”

E così ho fatto.

Ho iniziato a cercare nel dark web riferimenti ad aziende della mia zona, e a segnalare ai diretti interessati l’eventuale comparsa di risultati. Che tipo di risultati? Beh, i più critici: username e password in vendita a un tanto al chilo.

E qui nasce, spontanea, un’altra domanda lecita: username e password di cosa?!?

Ma chissenefrega di cosa sono quelle credenziali?

Non importa di cosa siano!

Non cambia nulla!

Ti vedo con lo sguardo fisso e la bocca semiaperta a fissare il monitor.

La domanda che ti passa per la testa è: “quindi Andrea, mi stai dicendo che qualcuno è disposto a comprare delle credenziali sul dark web, pagandole quattrini, senza sapere a cosa queste si riferiscano?”

Certo! Puoi scommetterci i gioielli di famiglia che è così.

*** CREDENTIAL STUFFING ***

E’ così che si chiama la tecnica di hacking che sfrutta quelle credenziali acquistate e di cui – nella maggior parte dei casi – nessuno sa a cosa si riferiscano.

Sfrutta un bug mentale dell’utente medio (ma facciamo anche dell’utente anulare e dell’utente mignolo…) che, siccome non ha testa/modo/voglia per ricordarsi le infinite password, in modo poco accorto ne usa una manciata (3 o 4) per decine e decine di servizi.

Tramite un attacco di tipo credential stuffing, un hacker in possesso di un database di username e password può fare un disastro di proporzioni bibliche.

Analizziamolo nel dettaglio. Ti garantisco che lo puoi comprendere anche se credi che l’informatica non sia il tuo pane. Lo potrebbero comprendere anche il mio cuginetto di 6 anni, mia nonna di 90 e il cane di mia mamma. Garantito.

Le credenziali che si trovano in vendita sul dark web sono tutte di tipo email/password.

Pensaci bene. Oggi quasi tutti i servizi che usi utilizzano come nome utente il tuo indirizzo email, che è sicuramente univoco. Si, giuro. Nessuno può avere un indirizzo email come il tuo.

Quindi, immagina che un malvivente trovi una coppia di credenziali del tipo:

“a.monguzzi@andreamonguzzi.it” con password “P@ssw0rd-Furb4”.

Non sa bene a quale servizio si riferiscano, ma sicuramente proverà ad utilizzarle per accedere a:

• posta elettronica;
• social network (Facebook, LinkedIn, Instagram, Twitter, ecc…);
• siti di ecommerce (Amazon, Ebay, Zalando, ecc…);
• servizi di storage (Dropbox, Drive, OneDrive, ecc…);
• e altri milioni di servizi online.

E sai qual è la cosa bella per quel furfante? E’ che non deve mica farlo a mano. Non gli passerebbe più. Tu non hai voglia di ricordarti le credenziali dei tuoi sistemi, figurati lui che voglia può avere di incrociare milioni di credenziali con milioni di siti.

Infatti se ne va a bere una birra al pub sotto casa, ridendo e scherzando con gli amici, mentre dei sistemi automatizzati fanno il lavoro sporco al posto suo.

Alla sera, rincasando, troverà sul monitor un bel messaggio che dice: “guarda, caro mio, mentre bevevi una bella pinta di birra io sono riuscito ad accedere qua, qua e qua, con le credenziali di quel tontolone”.

Capisci anche tu che questo è un bel problema, vero?

Ma torniamo a noi. A me e al mio esperimento sociale.

Come ti dicevo mi sono messo alla ricerca di credenziali compromesse. Ne ho trovate a gozzovilioni, e ho contattato le aziende vittime dell’hacking per segnalare loro la cosa.

Devo dire che in molte sono stare reattive. Hanno capito il problema, mi hanno ringraziato, hanno voluto fissare un appuntamento per capire come muoversi per migliorare il loro livello di sicurezza (spinte anche dal fatto che ho svolto tutte le attività di analisi del dark web a costo zero, e sempre a costo zero ho effettuato una prima visita presso di loro).

Ma c’è un ma.

Un’altra buona parte, la parte più grande dell’insieme di aziende chiamate, non ha fatto nulla.

Quindi, riassumendo, l’iter è questo:

1. L’azienda scopre di avere delle credenziali in vendita nel dark web;
2. Spiego all’azienda lo scopo di tale vendita, ovvero quello di mettere un esercito di criminali in condizione di poter sferrare degli attacchi, il cui unico scopo – o quasi – è quello di estorcere del denaro;
3. Spiego che non c’è modo di rimuovere le credenziali dal dark web. Una volta finiti li dentro ci si resta per l’eternità. Giochiamo nel campo da gioco dei criminali, quindi non vale il diritto all’oblio;
4. In alcuni casi spiego che le password sono state violate all’interno dell’azienda, tramite un malware, una mail di phishing o un keylogger (programma che registra tutti i tasti premuti da un utente e invia il tutto al criminale dall’altra parte del filo), e quindi potrebbe essere necessaria una bonifica per evitare che continuino a rubarne;
5. Rinnovo la mia disponibilità ad un incontro, anche con il responsabile IT aziendale (interno o esterno che sia) e specifico che non è richiesto pagamento alcuno per un’analisi preliminare e un incontro in loco;
   Mi sento dire: “tutto chiaro, grazie mille. Ho parlato con la proprietà e hanno deciso che fa niente, lasciamo tutto così. Ma grazie, comunque.”

Perché un utente consapevole di trovarsi in una situazione a rischio, ignora la cosa e va avanti imperterrito come niente fosse?

Alcuni si muovono così per lo stesso motivo per cui non curano la salvaguardia dei propri dati aziendali. Niente backup, o almeno niente di serio, perché “tanto cosa vuoi che succeda?”. E con quelli non c’è niente da fare. Darwin ha già messo una pietra sull’argomento.

Con altri invece si verifica il paradosso.

Sono visto come un truffatore. Sono visto come uno che sta tentando qualche escamotage per rubare informazioni e/o dati riservati. O forse semplicemente come uno che forse vuole spillare dei soldi. E quindi cosa fa, nel dubbio, il soggetto? Non fa niente.

La Comfort Zone.

Se resto immobile non mi vede nessuno.

Il cervo che fissa gli abbaglianti della macchina che sta per falciarlo in mezzo alla strada.

E perdono un’occasione, perché nessuno domani li avviserà di nuovo del pericolo.

Quindi, se chiedessi dei soldi per questa attività non si fiderebbero. Penserebbero in un raggiro, per fargli spendere quattrini inutilmente. Facendolo gratis, invece, non si fidano perché sicuramente è un modo per fargli spendere quattrini.

Che bella l’Italia

Ultimamente ho ricevuto diverse segnalazioni da parte di utenti che hanno ricevuto delle mail contenenti le proprie password in chiaro.

Vedo di spiegarmi meglio, così capiamo se ti è successo qualcosa del genere.

In pratica ricevi una mail che sembra inviata da te stesso, e un tizio dice di aver violato i tuoi sistemi (tanto da inviare mail a tuo nome) e di aver avuto accesso ai tuoi dati personali. Dice anche di averti ripreso in situazioni poco consone, attivando a tua insaputa la webcam del computer mentre “giocavi” guardando alcuni siti particolari.

Ovviamente il tizio che scrive dice di essere disposto, a fronte del pagamento di una somma di denaro, a rinunciare a tutte le informazioni in suo possesso e distruggerle. Neanche a dirlo, il pagamento va fatto in Bitcoin entro un periodo limitato di tempo, altrimenti i tuoi dati verranno diffusi e inviati ai tuoi contatti.

In molti casi, il tizio inserisce nel messaggio anche una password che tu sei solito utilizzare…

Ricapitolando:

dice di aver violato i tuoi sistemi, scrive a tuo nome e in più conosce le tue password…

Terrificante, vero? Ma vediamo di andare più a fondo e capire quali sono i rischi reali

Dunque, il fatto che la mail sia scritta a tuo nome non costituisce un particolare problema. Non ci vuole molto per scrivere una mail a nome di qualcun altro, e non serve violare nulla. Semplicemente dico al mio client di posta di chiamarmi Giulio Cesare e che la mia mail è giulio.cesare@roma.gov.

Sulla questione delle riprese video e del furto dei dati personali contenuti nel PC dico di fare un semplice ragionamento. Se il tizio fosse in possesso di qualcosa di particolarmente scottante potrebbe allegarne una prova alla mail, no? Uno spezzone di video? Una foto? Uno screenshot? Non avrebbe niente da perdere e, al contrario, farebbe capire che la minaccia è reale. Invece niente… Semplicemente sostiene di essere in possesso di materiale audiovisivo compromettente. E chiede soldi. Naaah, non ci credo. E il cinema mi da ragione. Quando in un film qualcuno viene ricattato, gli vengono sempre inviate copie delle foto, no?

Poi c’è la password.

Questa in effetti è una cosa strana. Come fa il tizio ad avere una mia password?

La spiegazione è semplice, ma richiede attenzione e un passo indietro.

Hai presente il dark web? Se non lo conosci ipersemplifico e te lo spiego. Si tratta di una “rete parallela” all’Internet che sei abituato a utilizzare, quello che navighi e sul quale fai ricerche con Google. In pratica, tramite internet si accede a questa rete “nascosta”, che non viene rilevata dai motori di ricerca e che richiede dei programmi appositi per essere navigata. Qui si trova di tutto, compresi servizi illegali.

Ora, senza dilungarmi oltre, ti dico che ovviamente tutti i poco di buono che girano in rete finiscono qui, e trovano quello che cercano per poter perpetrare i loro crimini. E tra quello che cercano ci sono dei database enormi di credenziali rubate a utenti ignari.

Il furto di credenziali avviene nei modi più disparati. In alcuni casi viene effettuato infettando il PC di un utente, recuperando i dati di accesso ai vari servizi e inviandoli al criminale, mentre in altri viene fatto violando i server che erogano questi servizi e rubandoli in massa. Anche LinkedIn ha subito una violazione del genere tempo fa.

Queste credenziali, una volta carpite, vengono vendute in blocco. Non importa se siano ancora valide o meno, ma consentono all’acquirente di ricavare informazioni utili, oppure di sfruttarle come nel caso di queste mail.

Il problema delle password gestite male

Ne ho parlato diverse volte, ma un ripasso male non farà.

Le password che usi, mediamente soffrono di due problemi critici:

1. Sono banali (anche ques’anno la password più usata al mondo è stata 123456)
2. Ne usi una per più servizi. Forse per tutti.

Il secondo problema è forse più grave del primo, perché significa che mediamente entrare in possesso di una tua password significa accedere alla tua vita al 100%.

Come dicevo prima, sul dark web si trovano decine di migliaia di credenziali di accesso a siti web (e non solo), in vendita al miglior offerente. Se facciamo 2+2 otteniamo un risultato abbastanza sconcertante.

Supponiamo che tu ti sia registrato su un forum di giocatori di briscola, e supponiamo che questo forum sia stato bucato da un hacker. Di tutti gli utenti sono stati presi diversi dati, tra cui:

• nome utente;
• password;
• dati anagrafici;
• indirizzo di posta elettronica;

Tu dirai: “Vabbè, chissenefrega. Se anche uno accede al forum della briscola non muore nessuno”. Il guaio è che la password che hai usato è quella che utilizzi sempre, su qualsiasi sito. Quindi, avendo l’indirizzo di posta, il malvivente può provare ad accedere alle tue mail personali, e probabilmente ci riuscirà. Dalle mail potrà risalire ai servizi a cui sei iscritto (Amazon, Netflix, Spotify… Paypal…). Siccome la password è sempre la stessa potrà accedere a Facebook, LinkedIn, Instagram e vedere chi sono i tuoi contatti, capire quali sono le tue abitudini, ecc.

Inoltre il criminale può acquistare in blocco anche i tuoi dati anagrafici, e quindi potrà ad esempio inviarti delle mail di phishing chiamandoti per nome, invece che definirti “Caro Utente”. Infatti questi dati, tra le altre cose, vengono utilizzati per effettuare degli attacchi mirati tramite posta elettronica, inserendo nel messaggio qualcosa che ti è famigliare e che ti farà abbassare le difese.

Cosa fare quando le credenziali finiscono sul dark web?

Beh, hai poco da fare. Il cambio delle password è indispensabile, quindi non appena ti accorgi della cosa devi correre a modificare la password su quel sito (o quei siti) dove la utilizzi. La buona prassi richiede che comunque, violate o no, le password vengano cambiate periodicamente per garantirne la riservatezza e l’efficacia. Tienine conto.

Esistono sistemi di gestione delle password, per evitare di complicarsi eccessivamente la vita, altro argomento che ho già trattato in precedenza.

Noi, tra le altre cose, forniamo ai nostri clienti la possibilità di aderire ad un nostro servizio di monitoraggio del dark web, e teniamo sotto controllo la comparsa di loro informazioni, così da avvisarli tempestivamente e consentire di cambiare le credenziali il prima possibile.

Vuoi sapere se ci sono già dei tuoi dati in vendita?

Ho deciso che, essendo il Natale ormai vicino, voglio fare un regalo a tutti i miei lettori.

Contattami usando una delle modalità che trovi in fondo all’articolo, e io farò un controllo gratuito sul tuo indirizzo email, segnalandoti la presenza di eventuali informazioni ad esso riferite.

Ovviamente dovrò verificare l’effettiva titolarità dell’indirizzo di posta, quindi ti manderò una mail alla quale dovrai rispondere. Questo per evitare di fornire dati riservati a soggetti non autorizzati. Capisci, la questione è abbastanza delicata.

Fino a quando offrirò questa possibilità di controllo gratuito?

Ma ovviamente fino all’arrivo della Befana.

Quindi sbrigati. Inviami una richiesta di verifica del tuo indirizzo di posta elettronica entro l’Epifania, e io scandaglierò il dark web alla ricerca di informazioni legate a te e alle tue attività online che domani potrebbero essere utilizzate da qualcuno per arrecarti un danno.

E Buone Feste!

Potrebbe andarti di lusso…

… se l’hacker in questione fosse un mentecatto.

Allora, tempo fa mi chiama un’azienda dicendo che hanno un problema: grazie a una porta RDP (desktop remoto) lasciata aperta sul server ed esposta su internet, si sono trovati con qualche terabyte di dati criptati. Nulla di che, solo tutta l’azienda paralizzata.

Pensano di chiamare me, per risolvere il problema, avendo letto parecchio mio materiale e avendomi sentito parlare a un paio di eventi. Ovviamente, seppur senza grosse speranze in tasca, faccio un salto da loro approfittando anche della breve distanza che ci separa (un’oretta di macchina).

Sul posto la situazione che mi si presenta davanti è questa:

• 5 server fisici, tutti compromessi;
• NAS contenente i backup, dal quale il contenuto è stato cancellato;
• nessuna copia dei dati recuperabile.

Hai presente la sensazione di una bella nuotata nelle acque del Gange? Ecco, per loro era un po’ peggio.

L’unico punto a favore era quello temporale. In pratica il patatrac è successo durante l’ultimo weekend prima delle ferie. L’azienda è chiusa per due settimane, quindi al momento non c’è un blocco operativo o un danno da mancata produzione. Un bel terno al lotto, se vogliamo vederla così.

Specifico al titolare che i dati sono irrecuperabili, e che senza un backup non vedo molte alternative. Anzi, ne vedo solo due:

• fare che non riaprire dopo le ferie, dichiarando il fallimento;
• pagare i criminali per provare ad ottenere le chiavi di sblocco.

Si, entrambe le opzioni fanno abbastanza schifo. Non lo metto in dubbio.

La folgorazione

Cercando di trovare una soluzione migliore di quelle prospettate, vengo colpito da folgorazione.

Se fossi stato nei panni dei criminali, avrei crittografato anche il contenuto del NAS. Loro invece hanno optato per una soluzione alternativa (sicuramente più veloce), ovvero quella di resettare il NAS. Scelta veloce, senza dubbio, ma che espone il fianco.

Consiglio al titolare dell’azienda di inviare il NAS presso un centro di recupero dati. Quelli che, a volte, ti salvano le terga quando un disco si rompe o in situazioni simili.

Decide di seguire il mio consiglio. Il NAS viene spedito e in un paio di giorni ci comunicano che la scelta è stata vincente. Sono riusciti a recuperare il contenuto del NAS, e quindi i backup dei dati.

Decidiamo quindi di ricreare l’intera infrastruttura server. Alcune macchine erano obsolete e quindi si opta per l’acquisto di un nuovo server, ben carrozzato, e il consolidamento del tutto in un tot di macchine virtuali.

Riprogettiamo tutto, isolando ciò che deve comunicare con il mondo internet da ciò che invece deve restare all’interno. La classica botte di ferro, per intenderci.

Modifichiamo le configurazioni dei firewall, implementando VPN e DMZ.

Dal NAS recuperiamo i backup così da rendere nuovamente disponibili i dati.

Installiamo un sistema di backup e disaster recovery degno di tale nome, per evitare che ciò che è successo possa accadere di nuovo.

Tutta l’operazione viene effettuata su un server che concedo in prestito, visto che non c’è il tempo tecnico per aspettare l’arrivo del nuovo hardware. Quando arriverà il server definitivo sarà sufficiente trasferire le macchine virtuali dal mio muletto verso il nuovo, e l’operazione sarà quindi conclusa.

Il risultato è che ieri alla riapertura degli uffici, l’azienda lavorava più o meno come se nulla fosse successo. Un viaggio all’inferno, andata e ritorno.

Quindi anche se non hai un sistema ben progettato sei comunque al sicuro?

No, assolutamente no. Ma neanche per idea.

L’azienda protagonista di questa storia ha avuto quella che in gergo tecnico viene definita “botta di stramegaculo”. Non punterei sul fatto che tu possa essere altrettanto fortunato, perché nel 99,9% dei casi non sarà così.

A loro è andata bene per diversi motivi:

• tutto è successo nel periodo migliore nel quale poteva capitare un disastro nel genere;
• la loro sede è relativamente vicina alla mia, quindi ho potuto operare sul posto facendo diversi viaggi in diversi giorni;
• il criminale che ha sferrato l’attacco era, senza dubbio, completamente cerebroleso.

Puoi azzardare la scommessa, ma ti dico che la perderai con certezza quasi matematica.

In alternativa, potresti analizzare la tua situazione e tappare i buchi prima che qualcuno ci infili la testa.

Io posso darti una mano per la valutazione.